CRITICAL✓ PATCH🇬🇧 English

CVE-2026-49764

RegistrationMagic – Broken Authentication bez uwierzytelnienia (≤ 6.0.8.6)

CVSS 9.8v3.1pub. 2026-06-15

Wtyczka WordPress RegistrationMagic w wersjach do 6.0.8.6 włącznie zawiera krytyczną podatność typu broken authentication, umożliwiającą nieuwierzytelniony dostęp do chronionych funkcji. Waga podatności jest krytyczna (CVSS 9.8), co oznacza wysokie ryzyko dla każdej witryny WordPress korzystającej z tej wtyczki.

Pokaż oryginał (EN)

Unauthenticated Broken Authentication in RegistrationMagic <= 6.0.8.6 versions.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) polega na tym, że mechanizm uwierzytelnienia wtyczki można ominąć bez podawania jakichkolwiek poświadczeń. Atakujący wysyłający odpowiednio spreparowane żądanie sieciowe może uzyskać dostęp do funkcji lub zasobów zastrzeżonych wyłącznie dla uwierzytelnionych użytkowników. Atak nie wymaga interakcji ze strony użytkownika ani szczególnych uprawnień, a jego przeprowadzenie możliwe jest zdalnie przez sieć.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych, modyfikować lub niszczyć zasoby witryny oraz potencjalnie przejąć nad nią pełną kontrolę, co odpowiada wysokiemu wpływowi na poufność, integralność i dostępność systemu.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę RegistrationMagic do wersji wyższej niż 6.0.8.6. Szczegółowe informacje o dostępnym patchu znajdują się w referencjach producenta oraz w bazie Patchstack.

Kogo dotyczy

Wtyczka WordPress RegistrationMagic (custom-registration-form-builder-with-submission-manager) w wersjach 6.0.8.6 i wcześniejszych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje